Prepnúť do nočného režimu
Prepnúť do denného režimu
Utorok 19. 1. 2021 meniny má Drahomíra, Mário

hľadaj na refresheri

Chceš dostávať notifikácie aj na tomto zariadení?
Refresher - Rozhovory
0
Adam Novosad
10. január 2021, 12:30
Čas čítania: 11:50

Etický hacker: Načo si prelepuješ webkameru, keď si celý deň na mobile a pozeráš sa do fotoaparátu? (Rozhovor)

Milan Kyselica je mladý etický hacker, ktorý pracoval pre štát, hľadal zraniteľnosti u Apple, ale aj veľkých slovenských firmách a porozprával nám, na čo si dnes na internete treba dávať najväčší pozor.

Adam Novosad
10. január 2021, 12:30
Čas čítania: 11:50
Zdielať
Uložiť Uložené
Zdielať Zdielať článok

Keby si sa dnes chcel frajerke nabúrať do Facebooku, aby si zistil, či pred tebou niečo neskrýva, nebolo by to vôbec ťažké. Je to však najmä o vzájomnej dôvere, upozorňuje etický hacker Milan Kyselica, ktorého sme mali príležitosť vyspovedať.

 

Milan vo svojom mladom veku zvíťazil na prestížnej súťaži takýchto etických hackerov , čo mu vynieslo viacero pracovných ponúk, ale aj náhlu popularitu.

 

 

Momentálne pracuje pre americkú firmu, kde sa venuje najmä penetračného testovaniu na zákazku od menších aj väčších klientov, ale má za sebou pôsobenie v tíme, ktorý bráni kybernetickú bezpečnosť Slovenska či identifikovanie zraniteľnosti u spoločnosti Apple. 

 

Nám vysvetlil, ako je možné, že za niekoľkomesačné úsilie v hľadaní chyby u Apple nedostal zaplatený ani jediný cent, ale u firiem na Slovensku si etický hacker môže zarobiť tisícky eur. Upozornil aj na to, že prelepovať webkameru na notebooku si nemusíš, ak celý deň stráviš s mobilom v ruke usmievaním sa do prednej kamery.

 

V tomto článku si prečítaš:
  • Či dnes môžeš dostať vírus len tým, že klikneš na nejakú webovú stránku
  • Prečo za identifikovanie chyby u Apple nedostal od firmy zaplatený ani cent
  • Koľko si už za nájdenie chyby zarobil od slovenských firiem ako Telekom či Eset
  • Prečo kryptomenové firmy na Slovensku len točia peniaze na ľuďoch
  • Či je náročné nabúrať sa frajerke alebo frajerovi do Facebooku
  • Prečo je dnes nezmyselné prelepovať si webkameru na notebooku
  • Ako ťa môže tvoja kamera na mobile nahrávať bez tvojho vedomia
  • Či je bezpečné používať TikTok

 

Etický hacker: Keď som našiel chybu u Apple, nezaplatili mi ani cent. U slovenských firiem sa dajú zarobiť tisícky (Rozhovor)
Zdroj: EY

Na sociálnych sieťach sa šíria konšpirácie o tom, že nás chcú sledovať cez čipy vo vakcínach. Uvedomujú si Slováci, že vďaka smartfónu vo vrecku o nich spoločnosti dnes vedia takmer všetko, čo potrebujú?

 

Občas ma naozaj v začiatkoch Google Play či App Store zarazilo, aké všetky povolenia si aplikácie žiadali. Časom sa to ale človek naučí rozoznávať. Je pravdou, že množstvo ľudí si naozaj neuvedomuje, a ani netuší, že keď sťahujú nejaké aplikácie, napríklad baterka (torch) do svojho mobilu, tak si zrazu vyžaduje prístup pokojne až ku kontaktom, čo je zbytočne rizikové.

 

Z môjho pohľadu je vytvoriť takúto aplikáciu veľmi jednoduché, ale ľudia si nedávajú pozor a sťahujú prvé, čo uvidia vo výsledkoch hľadania. Buď si riziko neuvedomujú, alebo im je to jedno. Neriadia sa tým, koľko stiahnutí aplikácia v obchode má, alebo koľko hviezdičiek od užívateľov dostala. Samozrejme aj hodnotenie a recenzie môžu byť falošné, avšak je rozdiel stiahnuť aplikáciu, ktorá má menej ako 1000 stiahnutí a aplikáciu, ktorá má viac ako 10 miliónov stiahnutí.

 

 

Etickí hackeri vraj často testujú sociálne inžinierstvo. Zamestnancom bánk skúšajú posielať podvodné maily, či sa tak nabúrajú do interného systému. Ak si predstavíš, že okolo 20% Slovákov verí, že vakcíny budú obsahovať čipy, sme pre hackerov ľahšia korisť?

 

Nemám k dispozícii takúto štatistiku. Je to citlivá téma, pretože niektorí ľudia síce sú naivní a tým pádom aj pomerne zraniteľní, a tak ti na pokus o phishing budú klikať a odovzdávať ti svoje dáta, ale musíš dopredu vedieť, aký výsledok od toho očakávaš.

 

Ak teraz niekto spraví kampaň na tému čipovania vo vakcínach, čo bude jej cieľom? Získanie prístupu na zariadenie – počítač cez kliknutie na link? Zrejme od ľudí budeš vedieť získať dáta, tomu verím, lebo sú ľahko manipulovateľní, ale každá takáto kampaň zrejme musí mať svoj vopred stanovený cieľ.

 

Kedysi sa hovorilo, aby človek nechodil na podozrivé stránky, lebo po kliknutí môže dostať vírus. Funguje to takto jednoducho aj dnes? 

 

Ak sa bavíme o tom, či len čisto klikneš na link a ideš na stránku, tak to môže platiť aj dnes, ale najmä vtedy, ak používaš nejaký zastaralý prehliadač alebo doplnok, povedzme zastaralú verziu Internet Explorer. V tomto prípade to môže platiť.


Iná taktika útočníka môže byť jednoduchšia s použitím sociálneho inžinierstva. Aplikácia používateľa vyláka, aby stiahol škodlivý súbor, spustil ho a vypýta si prihlasovacie údaje. Môže napríklad chcieť, aby si povolil prístup k mikrofónu.

 

Ako mladý etický hacker si len pred pár mesiacmi vyhral súťaž EY Cyber Security Trophy. Otvorilo ti to nové možnosti?

Hneď ako som vyhral, tak mi prišla ponuka od jedného človeka, ktorý na tej súťaži bol. Jedna firma mi poskytla možnosť pre nich pracovať a celkovo mi prišlo zopár v pohode ponúk zo Slovenska a Česka, ale ja som si vybral inú možnosť. Skôr ako pracovné ponuky mi víťazstvo poskytlo kontakty. Teraz bližšie poznám ľudí, ktorí tam boli, napríklad z Esetu alebo iných firiem.

 

Momentálne pracuješ pre firmu LIFARS. Dokázal by sa však etický hacker uživiť, keby pracoval individuálne na voľnej nohe?

Dá sa to a dokonca poznám takých ľudí, ktorí pracujú na voľnej nohe, ale treba rozlišovať. Etický hacker – penetračný tester, takýto človek musí mať striktne nastavené pravidlá, keď sa chce živiť sám.

 

Povedzme, že sa na to pozerám takto. Môžeš ako freelancer urobiť penetračný test pre nejakú menšiu firmu, ale dá ti banka urobiť interný penetračný test, keď si sám bez tímu a máš 22 rokov? Nedá, chýbajú ti skúsenosti, nemôžeš byť expert v každej oblasti a nemáš také meno ako nejaká lepšia firma.

 

Dá ho urobiť firme, v ktorej si zamestnaný? Určite skôr. Každopádne, robiť na voľnej nohe je ťažšie, ale poznám ľudí, ktorí sa tak živia, lebo je to pre nich lepšie z časovej perspektívy alebo možnosti výberu konkrétnej zákazky. Z dlhodobého hľadiska podľa mňa však strácaš, lebo nemáš tréningy & certifikácie a team ktorý ťa vie posunúť ďalej.

 

Zrejme si spomínaš na hackera menom Igigi, ktorý sa preslávil útokom na Azet a Pokec. Máme na Slovensku nejaké svetové kapacity vo svete hackingu, o ktorých verejnosť ani netuší?

Pravdepodobne dosť ľudom v hackerskej komunite na Slovensku to meno niečo hovorí. Myslím si, že odhliadnuc od black hat hackerov tu máme v oblasti kybernetickej bezpečnosti pár ľudí na vysokej úrovni, ktorí majú dobré meno aj v zahraničí.

 

Vo svojej kariére si už našiel viacero chýb a zraniteľností priamo v slovenskej vláde. 

Áno. Ja som sa vtedy v podstate orientoval na hľadanie webových chýb a zraniteľností. Nechcem síce špecifikovať ten typ chyby, ktorý som na stránkach našiel, aj keď nehovorím, že by ho bolo možné stále použiť a viem, že tieto zraniteľnosti opravili, ale vždy sa nájde niekto, kto by to mohol zopakovať.

 

Chybu som nahlásil cez CSIRT.sk a od nich prišla promptná odpoveď. Zareagovali dosť skoro a za deň-dva bola chyba opravená. Avšak, keď som skúšal komunikovať priamo s kontaktom uvedeným na webe, tak vôbec nereagovali. Slovensko má viacero takýchto jednotiek ako CSIRT, ktoré sa zaoberajú incidentmi kybernetickej bezpečnosti.

 

Internet miluje príbehy o hackeroch, ktorí u Google našli chybu a dostali za to desiatky tisíc dolárov ako odmenu. Našiel si vo veľkej firmy zraniteľnosť už aj ty?

 

Článok pre predplatiteľov REFRESHER+
PRIDAJ SA K PREDPLATITELOM
alebo Odomkni 1 článok cez SMS
Pošli SMS na 8877 s textom CLANOK 93225 a dočítaj tento článok.
Cena SMS za otvorenie článku je 3,50 € s DPH. Ako to funguje?
POSLAŤ SMS

Čo sa dozvieš po odomknutí?

  • Prečo za identifikovanie chyby u Apple nedostal od firmy zaplatený ani cent
  • Koľko si už za nájdenie chyby zarobil od slovenských firiem ako Telekom či Eset
  • Ako sa mu podarilo odhaliť zraniteľnosť priamo na webe Refresheru
  • Prečo kryptomenové firmy na Slovensku len točia peniaze na ľuďoch
  • Ako spravia peniaze z etického hackera človeka, ktorý pácha trestnú činnosť
  • Či je náročné nabúrať sa frajerke alebo frajerovi do Facebooku
  • Prečo je dnes nezmyselné prelepovať si webkameru na notebooku
  • Ako ťa môže tvoja kamera na mobile nahrávať bez tvojho vedomia
  • Či je bezpečné používať TikTok a zariadenia od Huawei
  • Ako tvoj mobil možno uprostred noci v nabíjačke odosiela dáta útočníkom

Upozorniť na chybu. Ak si našiel nedostatok v článku alebo máš pripomienky, daj nám vedieť.
Náhľadový obrázok: EY Tagy: etický hacker
Zdielať
Uložiť Uložené
Zdielať Zdielať článok
NAHOR
Dostávaj najlepší obsah mailom
Nestíhaš všetko sledovať? Pošleme ti do schránky najčítanejší a najlepší obsah.
Žiadny spam. Kedykoľvek sa môžeš z odberu odhlásiť.
Posielať email
Najčítanejšie
Domov
Zdielať
Diskusia
Hľadať
Viac
Zapni upozornenia a už ti nič neujde!

Chceš vedieť čo sa deje a mať prehľad? Dostávaj upozornenia o najhorúcejších správach na Refresheri.

(Príklady: Horel Notre Dame, Zomrel Mac Miller, Trailer na Avengerov)
(Príklady: Sagan skončil prvý, Nový zákon s vplyvom na moderných ľudí, Dnes nás čaká zatmenie slnka)
Ak chceš, aby sme ti poslali takmer všetky novinky, vyber túto možnosť.